La Legge Italiana sull’IA prende forma: cosa prevedono le bozze di decreti attuativi approvati dal Governo

Durante la riunione del Consiglio dei ministri del 10 giugno 2026 il Governo ha approvato, in esame preliminare, due schemi di decreto legislativo attuativi della legge 23 settembre 2025, n. 132 (Legge Italiana sull’IA), che contribuiscono a formare il primo quadro normativo nazionale organico in materia di intelligenza artificiale (“IA“). La cifra dei provvedimenti è chiaramente incentrata sulla tutela della persona e coerente con il Regolamento (UE) 2024/1689 (“AI Act“). Trattandosi di testi in esame preliminare, i decreti restano soggetti ad esame da parte delle Commissioni parlamentari, della Conferenza unificata e delle Autorità competenti.

1. Il primo decreto: poteri delle Autorità nazionali e usi dell’IA nella formazione e nel lavoro

Il primo schema dà attuazione alla delega dell’art. 24 della Legge Italiana sull’IA sul versante della governance e degli usi “orizzontali” dell’IA. Accanto all’assetto delle Autorità nazionali e al regime sanzionatorio, esso disciplina gli spazi di sperimentazione, l’alfabetizzazione e la formazione nei diversi settori, la tutela del lavoratore e la protezione dei dati e degli algoritmi di addestramento.

1.1 La governance e il riparto di competenze tra le Autorità

Il decreto distingue la funzione di notifica da quella di vigilanza del mercato.

1. l’Agenzia per l’Italia digitale (“AgID“) è l’autorità nazionale di notifica, competente per la valutazione, la designazione e il monitoraggio degli organismi di valutazione della conformità;
2. l’Agenzia per la cybersicurezza nazionale (“ACN“) è autorità di vigilanza del mercato e punto di contatto unico con le istituzioni dell’Unione, oltre che competente per la registrazione nazionale dei sistemi ad alto rischio dell’allegato III;
3. nel settore finanziario la vigilanza sui sistemi ad alto rischio è affidata, secondo le rispettive competenze, a Banca d’Italia, CONSOB e IVASS;
4. al Garante per la protezione dei dati personali (“Garante“) spettano invece i sistemi impiegati in attività di contrasto, gestione delle frontiere, giustizia e processi democratici.

1.2 Vigilanza e regime sanzionatorio

Le Autorità dispongono dei poteri di vigilanza e ispettivi previsti dall’AI Act e dal Reg. (UE) 2019/1020, inclusi controlli e ispezioni anche senza preavviso sulle prove in condizioni reali. Il regime sanzionatorio ricalca la struttura dell’art. 99 dell’AI Act, avvalendosi però della facoltà di modulare i massimali in base alla rilevanza delle disposizioni violate. Il massimo della sanzione (35 milioni di euro o al 7% del fatturato mondiale annuo) è previsto in caso di violazione del divieto di pratiche vietate (art. 5 AI Act), mentre per i restanti obblighi previsti dall’AI Act i massimali scendono progressivamente fino a 1 milione di euro o allo 0,5% del fatturato mondiale annuo in caso di violazione degli obblighi definiti per i deployer (artt. 26, 27 e 86 AI Act).

I limiti edittali sono ridotti del 50% quando l’autore è una persona fisica e sono ulteriormente attenuati, secondo il criterio dell’art. 99, par. 6, del Regolamento, per PMI, microimprese e start-up innovative. Inoltre, per le violazioni di scarsa offensività sono previste misure non pecuniarie (es. ordine di cessazione, dichiarazione pubblica).

1.3 Gli spazi di sperimentazione normativa

È istituito lo Spazio di sperimentazione italiano per l’IA, vigilato congiuntamente da AgID e ACN, quale ambiente controllato in cui fornitori e potenziali fornitori possono sviluppare, addestrare e validare i sistemi a fini di apprendimento normativo e di più rapido accesso al mercato, con priorità riconosciuta a PMI e start-up. Sono previsti ulteriori spazi – per gli usi duali, per l’attività giudiziaria e a livello regionale – e un raccordo espresso con la sperimentazione FinTech, presso la quale resta la competenza sui sistemi applicati ai settori bancario, finanziario e assicurativo.

1.4 Formazione, professioni ed equo compenso

Sul versante delle competenze, l’IA entra in modo trasversale: nei percorsi scolastici, in quelli universitari, nella pubblica amministrazione (con funzione di indirizzo del Ministro per la pubblica amministrazione e raccordo con la Scuola Nazionale dell’Amministrazione), nella sanità e nella magistratura, affidata alla Scuola Superiore della Magistratura, ferma restando la discrezionalità del giudice. Per le professioni, la formazione iniziale e continua deve coprire i profili tecnico, giuridico e deontologico, con adeguamento dei regolamenti degli ordini entro sei mesi. L’impiego dell’IA rileva inoltre ai fini dell’equo compenso del professionista, da modulare secondo la classe di rischio del sistema, con integrazione entro dodici mesi dei relativi parametri, comprese le tariffe forensi.

1.5 La tutela del lavoratore

Nei rapporti di lavoro il decreto fissa un divieto netto: le decisioni su costituzione, modifica o risoluzione del rapporto, compresi i provvedimenti disciplinari, non possono essere adottate unicamente sulla base di un trattamento automatizzato, dovendo la decisione finale restare riservata a una persona fisica dotata di potere effettivo e autonomo. Prima del trattamento il datore di lavoro assolve agli obblighi informativi e il lavoratore ha diritto, a richiesta e con l’intervento di una persona fisica, a una motivazione intelligibile della decisione, con indicazione dell’eventuale incidenza del sistema e dei principali parametri considerati. Il presidio è rafforzato dalla sanzione più incisiva: il licenziamento intimato in violazione del divieto è nullo. L’impiego di sistemi che incidono su organizzazione, ritmi e sicurezza confluisce inoltre nella valutazione dei rischi ai sensi dell’art. 28 del d.lgs. 81/2008.

1.6 La protezione dei dati commercialmente sensibili e degli algoritmi di addestramento

Di particolare rilievo per chi sviluppa tecnologie è la modifica al codice della proprietà industriale. Il nuovo comma 1-bis dell’art. 98 c.p.i. riconosce espressamente come segreti commerciali tutelabili – purché sussistano i requisiti di segretezza, valore economico e adozione di misure di protezione adeguate – i dati, gli algoritmi e i metodi matematici utilizzati per l’addestramento dei sistemi di IA. Questi elementi comprendono le architetture dei modelli, le funzioni di ottimizzazione, le procedure e configurazioni di addestramento e ogni altro componente tecnico-computazionale necessario allo sviluppo. Le controversie in materia sono attribuite alla competenza delle sezioni specializzate in materia di impresa. Tale disposizione è coordinata con il meccanismo di accesso alle prove previsto dal secondo decreto: la disclosure è infatti calibrata per proteggere proprio questi segreti. La tutela del know-how di addestramento e le regole sulla sua esibizione in giudizio risultano così disciplinate in maniera coerente.

2. Il secondo decreto: IA nelle attività di polizia e disciplina della responsabilità civile e penale

Il secondo schema di decreto legislativo dà attuazione alla delega di cui all’art. 24 della Legge Italiana sull’IA, adeguando l’ordinamento interno all’AI Act negli ambiti rimessi alla competenza statale. Coerentemente con il proprio fondamento di delega, il provvedimento non introduce obblighi sostanziali ulteriori rispetto al quadro europeo, ma ne assicura l’attuazione lungo due Titoli:

• il primo dedicato all’impiego dell’IA nelle attività di polizia,
• il secondo alle disposizioni penali e agli strumenti processuali civili in materia di danni cagionati da sistemi di IA.

2.1 L’IA nelle attività di polizia

Senza introdurre una sorveglianza biometrica generalizzata, il Titolo I disciplina utilizzi mirati e circoscritti, in linea con l’AI Act e con il suo approccio antropocentrico: ogni atto che incide sulla sfera giuridica degli interessati deve essere preceduto da una revisione umana qualificata. Il decreto sostiene inoltre lo sviluppo di nuove tecnologie per l’attività di polizia, prevedendo che le Forze di polizia possano attivare collaborazioni finalizzate alla ricerca con università ed enti pubblici e privati, nonché partecipare agli spazi di sperimentazione normativa, assicurando però una formazione obbligatoria del personale. Quanto alle attività preliminari, l’etichettatura, il filtraggio e la categorizzazione di dati biometrici già acquisiti sono consentiti solo a condizioni rigorose: è vietato inferirne le caratteristiche sensibili (come l’origine etnica o le opinioni politiche) ed è escluso che tali trattamenti possano costituire l’unico fondamento di decisioni produttive di effetti giuridici.

L’identificazione biometrica remota in tempo reale è ammessa, per finalità di prevenzione di minacce gravi e specifiche (es. attacchi terroristici) e per la ricerca di persone scomparse o di vittime di reati quali sequestro, tratta e sfruttamento sessuale, al solo fine di confermare l’identità di soggetti già individuati e previa autorizzazione del procuratore della Repubblica del distretto, su richiesta dell’autorità di pubblica sicurezza. Tale autorizzazione è circoscritta nel tempo, nello spazio e alle persone ricercate e non può superare i quindici giorni, salvo proroga motivata, mentre nei casi d’urgenza l’avvio è subordinato a comunicazione immediata al pubblico ministero e a un controllo successivo entro termini brevissimi, a pena di interruzione dell’uso, cancellazione dei dati e inutilizzabilità dei risultati. È in ogni caso vietato l’uso di banche dati alimentate mediante scraping non mirato. L’impiego è presidiato da valutazione d’impatto sui diritti fondamentali, da log non modificabili conservati per cinque anni e da notifica al Garante. A questo caso d’uso di natura preventiva si affianca un binario propriamente giudiziario, disciplinato dal codice di procedura penale, in cui la medesima tecnologia è autorizzata dal giudice per le indagini preliminari su richiesta del pubblico ministero.

Il riconoscimento facciale a posteriori si distingue dall’identificazione biometrica in tempo reale per l’intervallo temporale che intercorre tra l’acquisizione delle immagini e il loro utilizzo. Questa tecnologia può integrare i sistemi di videosorveglianza legittimamente installati e operare soltanto dopo la commissione di un reato, anche tentato, per identificare soggetti già indiziati sulla base di elementi oggettivi e verificabili. Titolare del trattamento è il Ministero dell’interno (Dipartimento della pubblica sicurezza). Sono prescritte una serie di garanzie: valutazione d’impatto e consultazione preventiva del Garante, conservazione locale dei dati per sette giorni, log quinquennali, divieto di decisioni pregiudizievoli fondate sul solo output e divieto assoluto di impieghi generalizzati o non mirati.

2.2 La responsabilità civile per i danni da sistemi di IA

L’intervento in materia civilistica ha natura dichiaratamente processuale: non introduce una nuova fattispecie sostanziale di responsabilità, ma mira a riequilibrare la posizione del danneggiato di fronte all’opacità tecnologica e all’asimmetria informativa tipiche dei sistemi di IA. La responsabilità sostanziale resta governata dal diritto comune, in particolare dai criteri di imputazione di cui agli articoli 2050 e 2051 c.c., dalla normativa di recepimento della direttiva sulla responsabilità da prodotto difettoso (Direttiva (UE) 2024/2853) e dall’art. 82 del GDPR. Su questa base, il decreto distingue due perimetri applicativi:

• Il primo riguarda l’accesso alle prove e si applica a ogni azione risarcitoria – contrattuale o extracontrattuale – relativa a un danno cagionato nell’utilizzo di un sistema di IA. Se il danneggiato allega in modo verosimile la fondatezza della propria domanda il giudice può ordinare alla controparte o al terzo l’esibizione degli elementi di prova pertinenti al funzionamento del sistema, segnatamente i registri, la documentazione sul sistema di gestione dei rischi, la documentazione tecnica e le informazioni sulla supervisione umana richieste dall’AI Act. L’ordine di esibizione è governato da necessità e proporzionalità ed è assistito dalle tutele del segreto commerciale. In caso di inottemperanza ingiustificata, il giudice può trarre argomenti di prova e, quando l’inadempimento riguarda proprio la documentazione di conformità ai sensi dell’AI Act, può ritenere ammessi i fatti allegati dal danneggiato, mentre l’ordine rivolto al terzo è ulteriormente assistito da una sanzione pecuniaria da 250 a 1.500 euro. Per gli operatori questo è il profilo di maggiore impatto pratico: la documentazione predisposta per la compliance all’AI Act (log, fascicolo tecnico, gestione del rischio, evidenze di sorveglianza umana) diventa l’asset processuale decisivo, poiché la sua indisponibilità si volge in un pregiudizio probatorio difficilmente gestibile.
• Il secondo, circoscritto ai danni derivanti dalla violazione di un obbligo dell’AI Act, introduce una presunzione relativa del nesso di causalità tra violazione e danno e stabilisce che la conformità del sistema agli obblighi europei, ancorché certificata, non esclude di per sé la responsabilità del convenuto. Ne discende un corollario importante: la compliance regolatoria è condizione necessaria ma non sufficiente a escludere il rischio risarcitorio, che va perciò gestito anche sul piano assicurativo. In questa direzione, il decreto prevede un’azione diretta del danneggiato nei confronti dell’impresa di assicurazione che copre la responsabilità civile del danneggiante, esperibile nei limiti del massimale e con litisconsorzio necessario del responsabile, restando opponibili al danneggiato le eccezioni contrattuali anteriori al sinistro e salvo il diritto di rivalsa dell’assicuratore. Sul versante processuale, infine, il danneggiato che rientri nella definizione di consumatore può adire il foro della propria residenza o domicilio, con un evidente effetto di moltiplicazione e dispersione dei fori per gli operatori che si rivolgono al mercato di massa.

Meccanismi analoghi di disclosure e presunzione di causalità sono già previsti dalla Direttiva (UE) 2024/2853 sulla responsabilità per danno da prodotti difettosi, che ha abrogato la direttiva 85/374/CEE. Tuttavia, lo schema di decreto ne amplia significativamente il perimetro applicativo: la divulgazione degli elementi di prova e le presunzioni si estendono a qualsiasi pretesa risarcitoria, contrattuale o extracontrattuale, a prescindere dal fatto che il presunto danneggiato sia una persona fisica che utilizza il sistema di IA esclusivamente o prevalentemente per scopi estranei all’attività professionale. In questo modo, il decreto riproduce parzialmente quanto previsto dalla proposta di Direttiva sulla responsabilità da IA, ritirata dalla Commissione europea e formalmente abbandonata nell’ottobre 2025: il legislatore nazionale ne recupera la sostanza, evitando il vuoto di tutela e innestandola su una base distinta da quella della responsabilità da prodotto difettoso.

2.3 La responsabilità penale e la responsabilità da reato dell’ente

Gli aggiornamenti rilevanti in ambito penale sono circoscritti alle condotte e alle omissioni umane che, nei sistemi ad alto rischio, mettono concretamente in pericolo beni primari. Il nuovo art. 437-bis c.p., collocato – non casualmente – tra i delitti contro l’incolumità pubblica e immediatamente dopo l’art. 437, punisce:

• in primo luogo, chi, nella progettazione, addestramento, produzione, immissione sul mercato o utilizzo professionale di sistemi di IA ad alto rischio, ometta le misure tecniche idonee a prevenirne malfunzionamenti o alterazioni ovvero le misure di sorveglianza umana, con la reclusione da uno a cinque anni se dal fatto deriva un pericolo concreto per la vita o l’incolumità individuale e da due a otto anni se il pericolo riguarda l’incolumità pubblica o la sicurezza dello Stato;
• in secondo luogo, salvo che il fatto costituisca più grave reato, l’alterazione illecita dei medesimi sistemi, con la reclusione da due a sei anni e, nelle ipotesi di pericolo per l’incolumità pubblica o la sicurezza dello Stato, da tre a dieci anni. Per i soli fatti omissivi, ove commessi con colpa grave, la pena è ridotta da un terzo a un sesto.

Due rilievi meritano attenzione:

• la punibilità presuppone sempre un pericolo concreto, sicché la norma non incrimina lo scostamento tecnico in quanto tale;
• la fattispecie omissiva è punibile anche a titolo di colpa grave, il che abbassa in modo significativo la soglia di rilevanza penale per chi sviluppa o impiega professionalmente tali sistemi.

Il profilo di maggiore rilievo per le imprese è però l’estensione della responsabilità all’ente: il nuovo art. 25-vicies del d.lgs. 231/2001 eleva a reati-presupposto:

• il sopra menzionato art. 437-bis c.p., sanzionato con la pena pecuniaria da seicento a mille quote;
• il delitto di diffusione illecita di contenuti generati o alterati con l’IA (art. 612-quater c.p., punito con la reclusione da uno a cinque anni e introdotto dalla stessa Legge Italiana sull’IA 132/2025), per il quale la sanzione all’ente va da duecento a settecento quote.

In entrambi i casi si applicano le sanzioni interdittive (ad es. dalla sospensione o revoca di autorizzazioni e licenze all’esclusione da agevolazioni e finanziamenti), la cui incidenza, per gli operatori regolamentati e per chi opera con il settore pubblico, può eccedere di gran lunga quella della sanzione pecuniaria. L’inclusione tra i reati-presupposto impone, in concreto, di aggiornare i modelli di organizzazione, gestione e controllo, mappando i rischi connessi all’intero ciclo di vita dei sistemi di IA ad alto rischio.

Autori: Marianna Riedo e Giulio Napolitano